ثغرة لودماستر الحرجة قد تسمح للمهاجمين بتنفيذ أوامر root دون مصادقة عبر API، ما يجعل التحديث الفوري خطوة ضرورية للمؤسسات.
ما هي ثغرة لودماستر التي تهدد الخوادم؟
كشفت شركة بروغرس عن ثغرة أمنية شديدة الخطورة في Kemp LoadMaster، وهي منصة تستخدمها الشركات لتوزيع الأحمال وإدارة حركة المرور بين الخوادم والتطبيقات.
الخطورة هنا أن الاستغلال لا يحتاج إلى تسجيل دخول مسبق. يكفي إرسال طلب API مُعد خصيصاً حتى يتمكن المهاجم من تشغيل أوامر عشوائية بصلاحيات root على الجهاز.
لماذا تعد هذه المشكلة حساسة للغاية؟
لأن LoadMaster يعمل غالباً على حافة الشبكة، فأي خلل قبل المصادقة يمنح المهاجم نقطة دخول مباشرة إلى بنية تحتية حيوية. وهذا يرفع مستوى المخاطر على الخدمات الداخلية والبيانات المتصلة بها.
- رقم الثغرة: CVE-2026-8037
- درجة الخطورة: 9.8 من 10 وفق CVSS
- نوع الهجوم: تنفيذ أوامر عن بُعد بدون مصادقة
- الصلاحيات الناتجة: root
كيف يتم استغلال ثغرة لودماستر عبر API؟
بحسب التفاصيل الفنية، الخلل مرتبط بدالة مسؤولة عن تنظيف المدخلات قبل تمريرها إلى أوامر النظام. المشكلة أن الذاكرة لم تُهيأ بشكل صحيح، كما لم تتم إضافة نهاية نصية واضحة للسلسلة بعد معالجتها.
نتيجة لذلك، يواصل النظام قراءة بيانات إضافية من الذاكرة المجاورة. ويمكن للمهاجم استغلال هذا السلوك عبر حشو طلب JSON بمفاتيح إضافية تحتوي على شيفرة حقن أوامر.
ما هو المسار المستهدف في الهجوم؟
يستهدف الهجوم نقطة النهاية /accessv2 الخاصة بالتحقق من بيانات اعتماد API. ويتم استخدام قيمة apiuser مُعدلة مع عشرات الحقول الإضافية لتمرير الحمولة الخبيثة وتشغيلها بدون أي بيانات دخول صحيحة.
- نقطة الاستهداف: /accessv2
- آلية الاستغلال: طلب JSON مُصمم بعناية
- شرط الاستغلال: تفعيل API
- النتيجة: تنفيذ الأمر المطلوب مباشرة على النظام
ما هي الإصدارات المتأثرة من لودماستر؟
الثغرة تؤثر على إصدارات GA 7.2.63.1 وما قبلها، وكذلك إصدارات LTSF 7.2.54.17 وما قبلها، وذلك عندما تكون واجهة API مفعلة على الجهاز.
وفي المقابل، أصدرت بروغرس نسخاً مُصححة لإغلاق مسار الاستغلال. وكما يوضح تيكبامين، فإن نطاق التأثر واسع بما يكفي ليتطلب مراجعة عاجلة لبيئات العمل.
- الإصدارات المتأثرة GA: حتى 7.2.63.1
- الإصدارات المتأثرة LTSF: حتى 7.2.54.17
- الإصدار الآمن GA: 7.2.63.2
- الإصدار الآمن LTSF: 7.2.54.18
كيف أصلحت بروغرس ثغرة لودماستر وماذا يجب أن تفعل الآن؟
الإصلاح البرمجي كان مباشراً لكنه مهم: تم استبدال أسلوب تخصيص الذاكرة بآخر يقوم بملئها بصفر افتراضياً، مع إضافة نهاية نصية صريحة بعد إخراج النص المُعالج.
حتى الآن لا توجد تقارير معلنة عن استغلال فعلي للهجوم، لكن نشر تحليل تقني كامل في 29 يونيو 2026 يزيد احتمالات محاولات الاستهداف. لذلك، ينصح تيكبامين بتحديث لودماستر فوراً، وتعطيل API مؤقتاً إذا لم تكن هناك حاجة تشغيلية ملحة له.